Todos os posts tagados d3b~X

Plataforma da Direcção Geral do Ensino Superior comprometida

cet_dges_mctes

O defacer indonésio d3b~X –  – continua a fazer das suas em Portugal. Desta vez comprometeu a Plataforma do DGES [Direção Geral do Ensino Superior] – http://www.cet.dges.mctes.pt
Tal como em casos anteriores, o defacer colocou uma imagem gif na raiz do domínio.

http://www.cet.dges.mctes.pt/nyet.gif [Ainda online na altura da publicação deste artigo]

O mirror deste ataque informático já foi indexado pelo Zone-H .

De referir que este site está alojado na FCCN e segundo os dados do site Netcraft, corre o servidor web da Microsoft IIS 6.0.
Apenas verificando o código fonte é também possível verificar que o site foi implementado com o Microsoft Visual Studio .NET.

Sendo uma plataforma privada, apenas acedida via password, fica por saber se o defacer obteve informação confidencial.

Investiguei um pouco mais, baseando-me em alguns registos de sites comprometidos, e reparei que o d3b~X tem um modus operandis muito habitual. Pesquisa por servidores mal configurados que aceitam o método PUT sem qualquer tipo de proteção. Ou seja, a ferramenta deste defacer pesquisa por servidores vulneráveis e faz o seguinte pedido:

PUT /nyet.gif HTTP/1.1″ 200 473 “-” “Mozilla/5.0 (Windows; U; Windows NT 5.1; de-LI; rv:1.9.0.16) Gecko/2009120208 Firefox/3.0.16 (.NET CLR 3.5.30729)”

Se retornar o código HTTP 200, ele faz um novo pedido, mas neste caso GET que é para validar se conseguiu ou não enviar a imagem GIF. Em caso de sucesso, envia provavelmente automaticamente o deface para o Zone-H.

GET /nyet.gif HTTP/1.1″ 200 2357 “-” “Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.0; Trident/5.0)”

Caso o pedido PUT dê erro HTTP 404, um scan automático é utilizado para procurar outras vulnerabilidades, na maior parte, plugins vulneráveis do CMS Joomla!.

Atualização:
No mês de janeiro, ainda não terminado, o PUT /nyet.gif apareceu nos logs de um site Joomla! de um cliente cerca de 41 vezes com 38 endereços de IP diferentes [máquinas comprometidas ou proxies].
A última entrada, dia 29 de janeiro, é possível verificar que a ferramenta automática tenta encontrar vulnerabilidades conhecidas no Joomla! [exemplo: com_jce] e só depois é que tenta verificar se é possível usar o método PUT.

87.230.19.16 – – [29/Jan/2015:12:33:19 +0000] “GET /index.php?option=com_jce&task=plugin&plugin=imgmanager&file=imgmanager&method=form
&action=upload HTTP/1.1” 200 22 “-” “Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.0; Trident/5.0)”
87.230.19.16 – – [29/Jan/2015:12:33:19 +0000] “GET /index.php?option=com_media&view=images&tmpl=component&e_name=jform_articletext&
asset=com_content&author= HTTP/1.1” 404 – “-” “curl/7.22.0 (x86_64-pc-linux-gnu) libcurl/7.22.0 OpenSSL/1.0.1 zlib/1.2.3.4 libidn/1.23 librtmp/2.3”
87.230.19.16 – – [29/Jan/2015:12:33:19 +0000] “POST /index.php?option=com_jdownloads&Itemid=0&view=upload HTTP/1.1” 404 – “-” “Mozilla/5.0 (Windows; U; Windows NT 5.1; de-LI; rv:1.9.0.16) Gecko/2009120208 Firefox/3.0.16 (.NET CLR 3.5.30729)”
87.230.19.16 – – [29/Jan/2015:12:33:19 +0000] “GET /images/jdownloads/screenshots/nyet.gif HTTP/1.1” 404 – “-” “Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.0; Trident/5.0)”
87.230.19.16 – – [29/Jan/2015:12:33:19 +0000] “PUT /nyet.gif HTTP/1.1” 404 – “-” “Mozilla/5.0 (Windows; U; Windows NT 5.1; de-LI; rv:1.9.0.16) Gecko/2009120208 Firefox/3.0.16 (.NET CLR 3.5.30729)”
87.230.19.16 – – [29/Jan/2015:12:33:22 +0000] “GET /nyet.gif HTTP/1.1” 404 – “-” “Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.0; Trident/5.0)”
87.230.19.16 – – [29/Jan/2015:12:33:22 +0000] “GET /oipm//index.php HTTP/1.1” 404 1437 “-” “Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.31 (KHTML, like Gecko)”
87.230.19.16 – – [29/Jan/2015:12:33:22 +0000] “PUT /nyet.gif HTTP/1.1” 404 – “-” “Mozilla/5.0 (Windows; U; Windows NT 5.1; de-LI; rv:1.9.0.16) Gecko/2009120208 Firefox/3.0.16 (.NET CLR 3.5.30729)”
87.230.19.16 – – [29/Jan/2015:12:33:25 +0000] “GET /nyet.gif HTTP/1.1” 404 – “-” “Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.0; Trident/5.0)”

Um ponto curioso, é que posteriormente a estes varrimentos nos sites, muitos outros utilizadores maliciosos poderão utilizar a mesma falha para proveito próprio e ter acesso a informação confidencial. É bastante comum haver este tipo de atividade.

Desconheço se foi este o método utilizado para atacar este site governamental mas quem sabe…

Site da União Geral de Trabalhadores comprometido

hacked cover

Como já havia sido publicado no blogue, alguns sites portugueses são alvos de ataques informáticos por parte de um pirata, desta vez foi o site da União Geral de Trabalhadores (http://www.ugt.pt) que sofreu não um deface na pagina inicial mas uma assinatura na forma de imagem pelo hacker d3b~X.
Pode ser visto no mirror do zone-h (http://zone-h.org/mirror/id/23551669)

A imagem e a respectiva mensagem:

d3bx logo

Até a data deste artigo a imagem ainda permanece alojada no site, ainda não houve qualquer informação do sucedido nem a forma de como foi possível o upload por parte da gestão do site.

Relembro mais uma vez a importância de investir na segurança informática, de forma a preservar a integridade dos sistemas e dos dados que neles estão alojados.

Associação na Hora comprometida (outra vez)

Associação na Hora comprometida

Já em maio deste ano tinha publicado aqui no blogue que o site oficial da Associação na Hora (http://www.associacaonahora.mj.pt) tinha sido comprometido. O que surpreende é que foi novamente atacado (http://zone-h.org/mirror/id/22980043) pelo mesmo utilizador malicioso.

A imagem e a respetiva mensagem do deface foi a mesma:

Hacked by d3b~X

Entretanto essa imagem já foi eliminada.

O que convém destacar é que na altura tinha mencionado que este defacer, segundo menções da sua conta no Twitter, tinha por hábito colocar backdoors nos seus ataques. Ora, posso presumir que, ou não corrigiram a falha ou alguma porta foi aberta para futuras intrusões. Isto é algo que apenas posso especular…

No entanto, espero que as entidades responsáveis tomem medidas mais corretas e averiguem a intrusão para prevenir que tal ataque aconteça novamente.

Ainda no decorrer da escrita deste artigo, mais um site governamental foi comprometido, desta vez o escolas.edu.azores.gov.pt

Hacked By ./Mr Error 404

Nunca é demais salientar que é importante investir na segurança informática em Portugal.
A confidencialidade e a integridade da informação deve ser preservada e cabe aos responsáveis pelos websites assegurar a mesma.

Mais 2 sites governamentais hackados

Mais 2 sites governamentais hackados

O site do GID – Gestão Integrada da Saúde – gid.min-saude.pt e o site da Associação na Hora – associacaonahora.mj.pt foram comprometidos por um defacer indonésio intitulado de d3b~X.

O deface (desfiguração) ainda está online e pode ser visto nas seguintes páginas:

http://gid.min-saude.pt/nyet.gif
http://www.associacaonahora.mj.pt/nyet.gif

Ambos os sites já estão indexados no Zone-H como deface em http://zone-h.org/mirror/id/22340152http://zone-h.org/mirror/id/22340076.

O defacer obteve permissão para fazer o upload de imagens e enviou a seguinte mensagem:

Hacked by d3b~X

Este utilizador malicioso é conhecido, tal como podemos confirmar na conta Twitter do mesmo, por fazer upload de sistemas de backdoor. Esta operação permite que fique uma “porta aberta” para futuras intrusões.

Informação confidencial pode ter sido comprometida e só após verificações de segurança é que se pode chegar a uma conclusão dos danos deste ataque a estes sites governamentais.

Convém referir que, até à data deste artigo, na página principal não foi encontrado malware.

Depois dos ataques lançados pelos Anonymous Portugal, penso que é mais um aviso para os responsáveis de sites críticos para investirem em segurança e desta forma salvaguardar a informação que poderá afectar todos os portugueses.